數據、帳號總是被盜?區塊鏈能解決嗎?

現如今,人們越來越重視自己的身份信息。但令人擔憂的是,我們的個人數據正在被一些第三方應用或機構所濫用

。正是在這樣的背景下,區塊鏈技術出現了,其最核心的應用之一就是保護我們的網絡身份以及數據安全。

數據、賬號總是被盜?區塊鏈能解決嗎?

區塊鏈技術保護個人數據的方式非常簡單:數據以加密的形式存儲在一個去中心化的網絡中,通過使用私鑰向其他方提供這些數據信息,這類似於我們通過私鑰把加密貨幣發送給其他人。

Coinbase等巨頭最近正在去中心化ID(身份標識)領域佈局,保護網絡身份的相關應用已經在加密貨幣行業中得到了強有力的論證和支持。

然而,儘管上述應用在邏輯上是合理的,但在大規模使用區塊鏈保護個人數據之前,仍面臨著許多挑戰。一部分是技術層面的,而另一些則是商業層面上的。致力於夯實這一領域的公司分別站在了不同的角度來處理這些問題,但在解決這些問題時,選擇偏離“完全”去中心化的理想似乎是必要的。

而且,即使克服了技術方面的挑戰,Facebook可以為公眾提供各種吸引人的“免費品”和完善的服務,這導致人們仍然不願離開像Facebook這樣的平臺。

數據、賬號總是被盜?區塊鏈能解決嗎?


控制權和隱私性

電子商務和ID平臺Nuggets的CEO兼創始人Alastair Johnson表示:“目前的一個現實問題是,人們無法真正控制屬於自己的數據。人們的個人數據——支付卡詳細信息、家庭地址、電子郵件地址、密碼和其他個人信息——平均分佈在大約100個在線賬戶上。人們可以訪問這些數據,但他們並不擁有這些數據。”(具有訪問權,不具有控制權)

相比之下,區塊鏈技術的使用能讓用戶享有控制權,用戶有權利決定他們與誰共享自己的身份數據。這主要是通過使用“去中心化的身份認證(decentralized identifiers,簡稱為DIDs)”來實現的。

Coinbase在8月15日宣佈收購專注於ID領域的初創公司Distributed Systems。Coinbase將為自己的加密貨幣交易平臺開發一個去中心化的登錄系統,從而讓用戶保留自己的ID所有權。

Coinbase表示:“去中心化ID會讓你讓你證明自己的身份、或者你和社會保障局的關係證明,而不需要複製那個身份。”

通過這樣的設置,像Cambridge Analytica這樣的醜聞就不可能再發生,同時它還將賦予個體前所未有的權力,這樣會使現在的巨頭公司更尊重用戶,因為他們手中不再握有人們的敏感數據了。“個人數據儲存和控制在了一系列由零售商、營銷公司、公用事業公司和數據報告公司等機構的中心化數據庫中。如果要在網上購物,個人必需授權這些不同的機構來連接他們持有的信息片段才能進行交易。”

然而,雖然個人用戶目前依賴於數百家不同公司進行存儲和傳輸的數據來獲得對服務的訪問權,但區塊鏈技術的引入完全顛覆了這種平衡。

這只是區塊鏈的一個應用場景,其實,使用區塊鏈技術在確認身份數據方面還有很多額外的好處。

首先,它提高了隱私性,個人ID不會被那些需要驗證的機構或組織洩露。

這是通過使用零知識證明(ZKPs)來實現的。ZKPs是一種加密方法,它可以在不真正共享證明索賠數據的情況下證明索賠。ZKPs由Sovrin公司實施,並計劃由Civi、Verif-y和Blockpass等初創公司使用。通過使用ZKPs,這些公司將使身份驗證的過程更簡單、更高效,同時也為在區塊鏈上存儲生物識別身份提供了可能。在驗證完我們的信息後,這些公司不需要存儲身份數據,這反過來又消除了潛在的漏洞,因為這些機構通常會將他們收到的任何數據保存在一箇中心化的數據庫中。

雖然並非所有去中心化的ID平臺都使用了ZKPs,但其他平臺仍將使用功能類似的方法。例如,SelfKey使用了一種它所描述的“數據最小化”的技術,這種技術“允許身份所有者提供儘可能少的信息來滿足第三方或驗證者的要求”。這回避了開發諸如ZKPs等先進技術的需要,當然該技術也引發了人們對如何定義“最小化“的爭議。SelfKey寫道,“這樣可以讓人們只選擇披露最少的信息。”但是,如果沒有更準確的關於“最小”和“選擇”的規範,可以想象ZKPs或者類似的功能可能最終會披露出更多的用戶數據。

數據、賬號總是被盜?區塊鏈能解決嗎?


安全

除了提供更強大的用戶控制和隱私外,基於區塊鏈的身份驗證平臺要比中心化的平臺更安全。這是因為數據信息會分佈在多個節點中,它們不會像傳統的身份系統(如政府數據庫、社交網絡)那樣出現單點故障。雖然區塊鏈上的一個或兩個節點有可能會變得不活躍,但這不影響用戶的使用,而加密技術可以防止任何敏感信息的洩露。

通過消除單點故障,去中心化的ID平臺幾乎不會被黑客攻破。攻擊者將不得不逐個獲取每個人的私鑰,而不是一下子就能攻破一箇中心化的數據庫,因為後者將所有用戶信息存儲在一個位置上。

印度在過去一年的時間裡多次遭到黑客攻擊,印度政府希望將其AADHAAR數據庫(世界上最大的生物特徵識別系統,包含超過10億人的記錄)轉變成區塊鏈的形式。區塊鏈的透明性和不可變性意味著用戶能夠看到他們的數據何時被訪問,以及由誰訪問,從而對任何潛在的黑客提供一定的威懾。類似地,這種透明性和不可變性只能在極端情況下才會被破壞,即一個作惡者假定控制了區塊鏈節點的51%,這將在理論上允許它訪問數據,然後刪除非法訪問的相應記錄。

雖然在目前,AADHAAR並不是基於區塊鏈的,同時迪拜政府在國際機場使用區塊鏈身份的項目也仍在建設中。愛沙尼亞則有一個政府主導的ID系統,它使用的是分佈式分類帳本技術(DLT)。它的KSI(無鑰匙簽名基礎設施)區塊鏈構成了各種電子服務的主幹,包括電子健康記錄系統、電子處方數據庫、電子法律和電子法院系統、電子警察數據、電子銀行、電子商務註冊和電子土地註冊。

同樣,使用KSI區塊鏈比以前的系統提供了更大的透明性,因為它可以檢測用戶數據何時被訪問,何時被更改,在檢測數據濫用方面,比傳統平臺也要快得多。

那些違規行為能夠在基於區塊鏈的身份系統上被迅速檢測到,是由於它們是公開的並允許大範圍專業人士的審查。

標準化和互操作性

現如今,世界上的數字身份系統都是相互分離的,這就迫使人們不得不在新的網站或者新的設備上不斷創造出新的賬戶和數據。這導致了個人數據激增至危險水平,從而加大了使數據洩露和網絡犯罪的可能性。例如,在2011年至2017年期間,僅在美國,身份盜竊的成本就達到了1060億美元,而當時消費者平均擁有118個網絡賬戶。

基於區塊鏈的數字身份系統提供了一種解決方案。許多初創企業(包括Polkadot、Cosmos和Aion)正在構建互操作性平臺,將獨立的區塊鏈連接在一起。它們通過實現一個能被所有其他需要身份驗證的平臺所接受的身份標準,來建議一個巨大的生態系統,這樣就可以大大減少人們被迫產生的大量數據。相反,用戶將使用一個基於區塊鏈的ID來創建一個帳戶,然後使用該ID向其他服務和系統進行註冊。

數據、賬號總是被盜?區塊鏈能解決嗎?

區塊鏈的互操作性仍然是一個新興領域,不同的組織正在尋求不同的方法來實現它。

擴容問題

區塊鏈身份系統可行性的最大問題是其可擴展性。根據其定義,身份服務應該能夠為數百萬人提供服務,因此,任何構成此類服務基礎的區塊鏈都必須具有極強的可擴展性。然而到目前為止,最受歡迎的去中心化應用程序區塊鏈(DApps)——以太坊——在去年幾乎被一款受歡迎的遊戲CryptoKitties給弄崩潰了。這就是為什麼上面提到的大多數平臺並不是建立在任何一個最有名的區塊鏈上,而是建立在專有賬本上的原因,其中一些賬本是不符合去中心化區塊鏈的傳統定義的。

例如:愛沙尼亞的KSI區塊鏈並不是使用非對稱密鑰加密的成熟區塊鏈,而是基於Merkle的分類賬本。同時,Sovrin網絡通過一組有限的“驗證器節點”來達成共識,可以說這使得它不像其他區塊鏈那樣去中心化。

綜上所述,這種權衡表明,如果一個身份平臺想要提高可擴展性,那麼它需要在某些方面減少去中心化——並且可能會因此變得更不安全。但從實際的角度來看,更重要的是重新定義什麼是“區塊鏈”,因為目前人們最熟悉的區塊鏈無法勝任大規模保護和傳送我們個人數據的任務。

既得利益者

這就是為什麼即使是當前最先進的項目都在規劃2020年以後的路線圖,因為一個可行的身份平臺需要新的分佈式賬本來平衡加密算法的透明性和個人隱私的需求。而且,即使上述任何一個平臺在短時間內都能實現這一目標,它們也將面臨另一個巨大的障礙:現有的既得利益者(包括Facebook等社交媒體巨頭)以及各國政府的主導地位。

政府的倡議

例如,近年來,英國和澳大利亞政府在建立自己的中心化身份驗證系統上投入了數百萬美元,這使得它們不太可能輕易的讓位於一些去中心化的替代方案。同樣,Facebook想把自己改造成一個真正的去中心化平臺(用戶將個人數據保密)的舉動將是不可想象的。因為Facebook通過將我們的數據賣給出價最高的競標者,每年能獲得數十億美元的利潤。它還被廣泛用於用戶的在線識別,因此它不太可能輕易放棄對區塊鏈平臺的主導地位。

也就是說,現在只有少數國家和州政府(如新加坡、伊利諾斯州)一直在試用基於區塊鏈的身份系統。

公眾情緒可能是這種改變的一個關鍵因素,在Facebook–Cambridge Analytica的醜聞之後,公眾情緒已經發生了變化。

此外,即使區塊鏈技術在加密貨幣領域之外仍未得到證實,只要它在隱私和安全方面顯示出優於以往系統的優勢,會開始贏得用戶的信任。


分享到:


相關文章: